FIDO2 / Passkeys
Standards d'authentification ouverts s'appuyant sur la cryptographie asymétrique liée au terminal pour offrir une connexion résistante au phishing — la réponse pratique à la fatigue MFA et au phishing adversary-in-the-middle.
FIDO2 est le standard d’authentification ouvert maintenu conjointement par la FIDO Alliance et le W3C, composé de deux spécifications : WebAuthn (l’API navigateur/plateforme) et CTAP (le protocole entre le navigateur et un authentificateur externe). Les passkeys sont le nom grand public des identifiants FIDO2 qui se synchronisent entre les terminaux d’un utilisateur via son fournisseur de plateforme (Apple, Google, Microsoft) ou un gestionnaire de mots de passe (1Password, Dashlane, Bitwarden).
Le noyau cryptographique est simple : à l’enrôlement, l’authentificateur génère une paire de clés publique/privée unique liée à l’origine du service (le domaine du site). La clé privée ne quitte jamais l’appareil. À la connexion, le serveur envoie un challenge ; l’appareil le signe localement — après un geste biométrique ou un code PIN — et renvoie la signature. Comme l’identifiant est lié à l’origine exacte, une fausse page de connexion sur un domaine ressemblant ne peut pas déclencher la bonne clé. C’est ce que « résistant au phishing » signifie au sens du NIST 800-63B.
Ce que FIDO2 / passkeys résolvent et que les autres facteurs MFA ne résolvent pas :
- Immunité à la fatigue MFA. Pas de notifications push à approuver machinalement ; l’utilisateur doit toucher explicitement l’appareil.
- Immunité au phishing AiTM. Evilginx, Tycoon et autres kits relayeurs ne peuvent rejouer une assertion FIDO2 — la signature est liée au domaine de l’attaquant, pas au vrai.
- Pas de secret partagé. Contrairement au TOTP, le serveur ne stocke qu’une clé publique ; une fuite de base ne livre rien d’exploitable.
- Itinérant vs plateforme. Les authentificateurs itinérants (YubiKey, Titan) se branchent en USB/NFC ; les plateforme (Touch ID, Windows Hello, biométrie Android) vivent dans l’appareil. Les passkeys ajoutent la synchronisation cross-device par-dessus.
Le frottement de déploiement est réel — flux de récupération, postes partagés, applications héritées qui ne parlent que SAML sans WebAuthn — mais tous les grands IdP (Okta, Entra ID, Google Workspace, Ping) supportent désormais les passkeys nativement, et la trajectoire 2024-2026 est sans ambiguïté : la CISA, l’ANSSI et le NCSC britannique recommandent tous la MFA résistante au phishing pour les comptes à privilèges comme base, pas comme objectif lointain. Commencez par les administrateurs et la finance ; étendez à partir de là.
Termes liés
- Authentification multi-facteur (MFA)Schéma d'authentification exigeant au moins deux facteurs indépendants — ce que l'on sait, possède ou est — pour vérifier un utilisateur et renchérir le vol d'identifiants.
- Single Sign-On (SSO)Architecture d'authentification où un fournisseur d'identité unique émet les jetons donnant accès à de multiples applications, réduisant la surface d'identifiants mais concentrant le rayon d'impact.
- Fatigue MFAAttaque d'ingénierie sociale qui sature un utilisateur de notifications push MFA jusqu'à ce qu'il valide par lassitude ou confusion.
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Phishing OAuth / consent phishingAttaque qui amène l'utilisateur à accorder à une application tierce malveillante un accès OAuth persistant à sa messagerie, ses fichiers ou son workspace — contournant entièrement le MFA.